Art. 6 REG_2023_2841 – Rahmen für Risikomanagement, Governance und Kontrolle im Bereich der Cybersicherheit

(1)Alle Einrichtungen der Union legen bis zum 8.

April 2025 nach Durchführung einer ersten Cybersicherheitsüberprüfung, wie etwa eines Audits, einen internen Rahmen für Risikomanagement, Governance und Kontrolle im Bereich von Cybersicherheitsrisiken (im Folgenden „Rahmen“) fest.

Die Festlegung des Rahmens erfolgt unter der Aufsicht und Verantwortung der jeweiligen höchsten Managementebene der Einrichtung der Union.

(2)Der Rahmen deckt jeweils die gesamte nicht für Verschlusssachen genutzte IKT-Umgebung der betreffenden Einrichtung der Union ab, insbesondere die IKT-Umgebung in den Räumlichkeiten der betreffenden Einrichtung, das operative Technologienetz in den Räumlichkeiten der betreffenden Einrichtung, in Cloud-Computing-Umgebungen ausgelagerte oder von Dritten gehostete Anlagen und Dienste, mobile Geräte, Firmennetze, nicht mit dem Internet verbundene Geschäftsnetze und alle mit diesen Umgebungen verbundenen Geräte (im Folgenden „IKT-Umgebung“).

Der Rahmen basiert auf einem gefahrenübergreifenden Ansatz.

(3)Der Rahmen muss für ein hohes Maß an Cybersicherheit sorgen.

Mit dem Rahmen werden interne Cybersicherheitsstrategien, einschließlich Zielen und Prioritäten, für die Sicherheit von Netz- und Informationssystemen sowie die Aufgaben und Zuständigkeiten des Personals der Einrichtung der Union festgelegt, das mit der Sicherstellung der wirksamen Durchführung dieser Verordnung betraut ist.

Der Rahmen umfasst auch Verfahren, mit denen die Wirksamkeit der Umsetzung gemessen wird.

(4)Der Rahmen muss regelmäßig im Lichte der sich wandelnden Cybersicherheitsrisiken und mindestens alle vier Jahre überprüft werden.

Gegebenenfalls wird auf Ersuchen des gemäß Artikel 10 eingerichteten Interinstitutionellen Cybersicherheitsbeirats der Rahmen einer Einrichtung der Union auf der Grundlage einer Orientierungshilfe des CERT-EU zu ermittelten Sicherheitsvorfällen oder etwaigen bei der Durchführung dieser Verordnung festgestellten Unzulänglichkeiten aktualisiert.

(5)Die höchste Managementebene jeder Einrichtung der Union ist für die Durchführung dieser Verordnung verantwortlich und überwacht die Einhaltung der Verpflichtungen im Zusammenhang mit dem Rahmen durch ihre Organisation.

(6)Die höchste Managementebene jeder Einrichtung der Union kann gegebenenfalls und unbeschadet ihrer Verantwortung für die Durchführung dieser Verordnung spezifische Verpflichtungen aus dieser Verordnung an höhere Führungskräfte im Sinne des Artikels 29 Absatz 2 des Statuts der Beamten oder andere gleichrangige Beamte innerhalb der betreffenden Einrichtung der Union delegieren.

Unabhängig von einer solchen Übertragung kann die höchste Managementebene für Verstöße der betreffenden Einrichtung der Union gegen diese Verordnung haftbar gemacht werden.

(7)Alle Einrichtungen der Union müssen über wirksame Mechanismen verfügen, um sicherzustellen, dass ein angemessener Prozentsatz des IKT-Haushalts für Cybersicherheit ausgegeben wird.

Bei der Festlegung dieses Prozentsatzes ist dem Rahmen gebührend Rechnung zu tragen.

(8)Alle Einrichtungen der Union ernennen einen lokalen Cybersicherheitsbeauftragten oder eine Kontaktperson mit gleichwertiger Funktion, der bzw. die als zentrale Anlaufstelle für alle Cybersicherheitsfragen fungiert.

Der lokale Cybersicherheitsbeauftragte erleichtert die Durchführung dieser Verordnung und erstattet der höchsten Managementebene regelmäßig unmittelbar Bericht über den Stand der Durchführung.

Obgleich der lokale Cybersicherheitsbeauftragte in jeder Einrichtung der Union als zentrale Anlaufstelle fungiert, kann eine Einrichtung der Union bestimmte Aufgaben des lokalen Cybersicherheitsbeauftragten in Bezug auf die Durchführung dieser Verordnung auf der Grundlage einer Leistungsvereinbarung zwischen dieser Einrichtung der Union und dem CERT-EU auf das CERT-EU übertragen; diese Aufgaben können auch von mehreren Einrichtungen der Union gemeinsam wahrgenommen werden.

Werden diese Aufgaben dem CERT-EU übertragen, so entscheidet der gemäß Artikel 10 eingerichtete Interinstitutionelle Cybersicherheitsbeirat unter Berücksichtigung der personellen und finanziellen Ressourcen der betreffenden Einrichtung der Union, ob die Bereitstellung dieses Dienstes Teil der Basisdienste des CERT-EU sein soll.

Jede Einrichtung der Union teilt CERT-EU unverzüglich den ernannten lokalen Cybersicherheitsbeauftragten sowie etwaige spätere Änderungen daran mit.

Das CERT-EU führt eine Liste der ernannten lokalen Cybersicherheitsbeauftragten und aktualisiert diese.

(9)Die höheren Führungskräfte im Sinne des Artikels 29 Absatz 2 des Statuts der Beamten oder andere gleichrangige Beamte jeder Einrichtung der Union sowie alle relevanten Bediensteten, die mit der Umsetzung bzw.

Erfüllung der in dieser Verordnung festgelegten Maßnahmen bzw.

Pflichten im Zusammenhang mit dem Management von Cybersicherheitsrisiken betraut sind, absolvieren regelmäßig spezifische Schulungen, um ausreichende Kenntnisse und Fähigkeiten zu erwerben, damit sie mit den Vorgehensweisen im Bereich des Cybersicherheitsrisikos und des Cybersicherheitsmanagements und deren Auswirkungen auf den Betrieb der jeweiligen Einrichtung der Union vertraut sind und diese bewerten können.

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 6 REG_2023_2841 und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 6 REG_2023_2841 direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.